Usar Netdom.exe para redefinir senhas de conta de máquina de um controlador de domínio do Windows Server

Este artigo passo a passo descreve como usar Netdom.exe para redefinir senhas de conta de computador de um controlador de domínio no Windows Server.

Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número original do KB: 325850

Resumo

Cada computador baseado no Windows mantém um histórico de senhas de conta de máquina que contém as senhas atuais e anteriores usadas para a conta. Quando dois computadores tentam se autenticar entre si e uma alteração na senha atual ainda não é recebida, o Windows depende da senha anterior. Se a sequência de alterações de senha exceder duas alterações, os computadores envolvidos poderão não ser capazes de se comunicar e você poderá receber mensagens de erro. Por exemplo, você recebe mensagens de erro negadas pelo Access quando ocorre a replicação do Active Directory.

Esse comportamento também se aplica à replicação entre controladores de domínio do mesmo domínio. Se os controladores de domínio que não estão replicando residirem em dois domínios diferentes, examine a relação de confiança mais de perto.

Você não pode alterar a senha da conta do computador usando o snap-in Usuários e Computadores do Active Directory. Mas você pode redefinir a senha usando a ferramenta Netdom.exe. A ferramenta Netdom.exe está incluída nas Ferramentas de Suporte do Windows para Windows Server 2003, no Windows Server 2008 R2 e no Windows Server 2008.

A ferramenta Netdom.exe redefine a senha da conta no computador localmente (conhecido como segredo local). Ele grava essa alteração no objeto da conta de computador do computador em um controlador de domínio do Windows que está no mesmo domínio. A gravação simultânea da nova senha em ambos os locais garante que pelo menos os dois computadores envolvidos na operação sejam sincronizados. E iniciar a replicação do Active Directory garante que outros controladores de domínio recebam a alteração.

O procedimento a seguir descreve como usar o comando netdom para redefinir uma senha da conta do computador. Esse procedimento é usado com mais frequência em controladores de domínio, mas também se aplica a qualquer conta do computador Windows.

Você deve executar a ferramenta localmente no computador baseado no Windows cuja senha deseja alterar. Além disso, você deve ter permissões administrativas localmente e no objeto da conta de computador no Active Directory para executar Netdom.exe.

Use Netdom.exe para redefinir uma senha de conta de computador

1. Instale as Ferramentas de Suporte do Windows Server 2003 no controlador de domínio cuja senha você deseja redefinir. Essas ferramentas estão localizadas na Support\Tools pasta na CD-ROM do Windows Server 2003. Para instalar essas ferramentas, clique com o botão direito do mouse no arquivo Suptools.msi na Support\Tools pasta e selecione Instalar.

   Observação

   Essa etapa não é necessária no Windows Server 2008, No Windows Server 2008 R2 ou em uma versão posterior porque a ferramenta Netdom.exe está incluída nessas edições do Windows.

2. Se você quiser redefinir a senha de um controlador de domínio do Windows, deve parar o serviço do Centro de Distribuição de Chaves Kerberos e definir seu tipo de inicialização como Manual.

   Observação

   • Depois de reiniciar e verificar se a senha foi redefinida com êxito, você pode reiniciar o serviço KDC (Centro de Distribuição de Chaves) kerberos e definir seu tipo de inicialização de volta como Automático. Isso força o controlador de domínio que tem a senha incorreta da conta de computador a entrar em contato com outro controlador de domínio para um tíquete Kerberos.
   • Talvez seja necessário desabilitar o serviço do Centro de Distribuição de Chaves Kerberos em todos os controladores de domínio, exceto um. Se puder, não desabilite o controlador de domínio que tem o catálogo global, a menos que ele esteja enfrentando problemas.

3. Remova o cache de tíquetes Kerberos no controlador de domínio em que você recebe os erros. Você pode fazer isso reiniciando o computador ou usando as ferramentas KLIST, Kerbtest ou KerbTray. O KLIST está incluído no Windows Server 2008 e no Windows Server 2008 R2. Para o Windows Server 2003, o KLIST está disponível como um download gratuito nas Ferramentas de Kit de Recursos do Windows Server 2003.

4. Em um prompt de comando, digite o seguinte comando:

   netdom resetpwd /s:<server> /ud:<domain\User> /pd:*
   

   Uma descrição deste comando é:

   • /s:<server> é o nome do controlador de domínio a ser usado para definir a senha da conta do computador. É o servidor em que o KDC está em execução.

   • /ud:<domain\User> é a conta de usuário que faz a conexão com o domínio especificado no /s parâmetro. Ele deve estar no formato domain\User. Se esse parâmetro for omitido, a conta de usuário atual será usada.

   • /pd:* especifica a senha da conta de usuário especificada no /ud parâmetro. Use um asterisco (*) para ser solicitado para a senha. Por exemplo, o computador controlador de domínio local é Server1 e o controlador de domínio do Windows par é Server2. Se você executar Netdom.exe no Server1 com os parâmetros a seguir, a senha será alterada localmente e será gravada simultaneamente no Server2. E a replicação propaga a alteração para outros controladores de domínio:

     netdom resetpwd /s:server2 /ud:mydomain\administrator /pd:*  
     

5. Reinicie o servidor cuja senha foi alterada. Neste exemplo, é Server1.